CrowdStrike-Vorfall

Am 19. Juli 2024 war HEUKING - wie viele andere CrowdStrike Kunden auch - vom dem weltweiten Vorfall betroffen, der durch ein fehlerhaftes Update der Sicherheitssoftware Falcon von CrowdStrike verursacht wurde. Dieses Update führte zu einem Logikfehler, der viele Systeme weltweit zum sogenannten "Blue Screen of Death" (BSOD) brachte und zahlreiche IT-Ausfälle verursachte und noch immer verursacht. Unter anderem waren Branchen wie Banken und Fluggesellschaften stark beeinträchtigt.

Auch unsere Kanzlei war zeitweise schwer von diesem Vorfall betroffen. Ausgefallen waren über hundert Server und Endgeräte. Der Vorfall zeigte aber, dass die Desaster Recovery Prozesse der Kanzlei gut funktionieren. „Es war quasi wie eine Table-Top-Übung, die die Wirksamkeit unserer Prozesse und Reaktionsfähigkeit in Krisensituationen unter Beweis stellte und unser Vertrauen in unsere Sicherheitsmaßnahmen und unser Team stärkte“, so Mathias Espeloer, Director IT bei HEUKING.

Dank der sicheren und redundanten Ablage von Festplattenschlüsseln, der umfassenden Sicherung von lokalen Administratorkonten und der strukturierten sowie effektiven Verwaltung der Kanzleigeräte, konnte der Vorfall schnell und effizient behoben werden. Das Incident Response Team sowie alle hinzugezogenen Administratoren und Supportmitarbeiter arbeiteten ab dem Moment der Bekanntgabe des Workarounds von CrowdStrike intensiv an der Wiederherstellung der Systeme. Innerhalb von zwei Stunden waren die kritischen Server-Systeme wieder funktionsfähig. Nach vier Stunden waren nur noch vereinzelte Endgeräte betroffen, die in den nächsten Tagen schrittweise bereinigt wurden. Die Anwälte und Mitarbeitenden konnte somit am Vormittag bereits über eine Entwarnung und die Funktionsfähigkeit der Systeme informiert werden.

CrowdStrike hatte der Kanzlei proaktiv am Freitag ihre Hilfe angeboten. Aktuelle und ehemalige Customer Success Manager sowie deren Techniker kontaktierten HEUKING umgehend und boten ihre Unterstützung an. Dank unserer schnellen Reaktion und hohen internen Fachexpertise, mussten wir aber nicht auf Unterstützung Dritter zurückgreifen. 

Was haben wir aus diesem Vorfall gelernt und was können andere daraus lernen?

• Notfall- und Reaktionspläne erstellen und aktuell halten
• Klare Kompetenzen bereits vor dem Ernstfall festlegen
• Kommunikationskanäle redundant halten
• BitLocker und LAPS konfigurieren - Schlüssel und Zugänge redundant vorhalten
• Assetmanagement einführen und aktuell halten
• Ein effektives Netzwerk pflegen, um kontinuierlich mit aktuellen Informationen versorgt zu werden

Diese Maßnahmen tragen entscheidend zur Resilienz und Sicherheit jeder Organisation bei.